A Garmin, fornecedora de navegação por tecnologia GPS, foi vítima de um ataque de crypto-ransomware que interrompeu seus serviços por três dias. Sua rede e sistemas de produção foram criptografados e mantidos inacessíveis até que um resgate de US$ 10 milhões fosse pago.
Em comunicado oficial, a empresa confirmou que foi vítima do trojan WastedLocker, ransomware que se tornou visivelmente mais ativo desde o primeiro semestre deste ano. Esta versão foi projetada especificamente para atingir a Garmin e contém vários aspectos técnicos incomuns.
O primeiro deles é sua técnica para burlar o Controle de Acesso de Usuário (UAC). Uma vez iniciado em um dispositivo comprometido, o trojan verifica se possui privilégios suficientes para se executar. Caso não o tenha, tentará elevar seu privilégio de forma silenciosa, enganando o sistema e usando binários legítimos para iniciar o código do trojan, escondido em um fluxo ADS (Alternate Data Stream), nativo de sistemas NTFS.
Dessa forma o trojan conseguirá se executar e iniciar a infecção em sistemas configurados com contas de usuários limitadas.
Adicionalmente, a amostra analisada do WastedLocker usou uma chave pública RSA, usada para criptografar os arquivos. Isso seria uma fraqueza se o malware fosse distribuído em massa, pois o descriptografador usaria uma única chave RSA privada para desbloquear todos os arquivos afetados. No entanto, para uma campanha direcionada, como é nitidamente o caso deste ataque, usar uma única chave RSA é eficaz.
“Esse incidente destaca que há uma tendência crescente de ataques direcionados de ransomware contra grandes corporações, algo que contrasta com as campanhas mais difundidas e populares do passado, como WannaCry e NotPetya. Embora tenham menos vítimas, a maioria desses ataques direcionados estão sendo criados para realizar a dupla extorsão. Isso ocorre quando o criminoso cobra o resgate dos dados e, caso a empresa não aceite pagar, ele ameaça publicar os dados vazados na internet – o que gerará multa à empresa vítima com base nas leis de proteção de dados vigentes. E essa tendência só deve crescer no futuro próximo. Importante notar que não observamos esse comportamento no WastedLocker, porém muitas outras famílias de ransomware adotam essa prática. Portanto, é fundamental que as organizações fiquem atentas e tomem medidas de prevenção”, afirma Fabio Assolini, analista se segurança da Kaspersky.
Para evitar ser vítima do WastedLocker e outros ransomware, os especialistas da Kaspersky recomendam:
• Use as versões atualizadas do sistema operacional e outros softwares;
• Tenha uma VPN para proteger o acesso remoto aos recursos da empresa;
• Adote uma solução de segurança de qualidade, como a Kaspersky Endpoint Security for Business configurado corretamente para detectar comportamentos suspeitos, permitindo a reversão automática de arquivos e outras tecnologias para proteção contra ransomware;
• Invista na capacitação dos colaboradores. A Kaspersky Security Awareness oferece treinamentos que combinam a expertise em segurança online com as melhores práticas de ensino e tecnologias;
• Use uma solução confiável para backup de dados.
Para mais detalhes sobre a análise do WastedLocker, acesse Securelist.
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo